Comprender la fuerza de los factores móviles de dos factores y las alternativas a esto

Navega tus respuestas
1

Actualmente estoy usando dos factores entre mi Mac y mi iPhone. Y también lo uso para mi cuenta de Google. (Esos son los dos únicos en este momento).

¿Cómo puedo proteger el acceso a mis cuentas si no tengo un teléfono móvil ?

  1. Primero, me gustaría entender si el factor doble en un teléfono móvil es más fuerte que usar un método de doble factor que no involucre un teléfono móvil. Si es así, ¿qué sucede con un teléfono móvil que lo hace más seguro? ¿Se debe a que los teléfonos móviles tienen tarjetas SIM y nadie puede obtener una tarjeta SIM sin registrarse con el nombre completo de un operador telefónico, etc.?

  2. ¿Qué alternativas tengo para dos factores para ID de Apple / Gmail que no involucren un teléfono móvil? (Preferiblemente, algo que no requiera obtener un elemento físico o inscribirse en algún servicio de pago). ¿Se puede usar un token por correo electrónico cifrado, por ejemplo?

pregunta forthrin 24.05.2017 - 15:24
fuente

2 respuestas

1

Confiar en cualquier cosa controlada por un operador de telefonía móvil es una mala idea. El diseño de SMS es inseguro (transita en texto plano) y los operadores de telefonía móvil no se preocupan por la seguridad a menos que interfiera con su capacidad de estafar a sus clientes, por lo que no les importa si hay un tipo malo en su infraestructura e interceptando a 2FA textos en masa (dados los horrores que he visto en un importante operador del Reino Unido, no me sorprendería si la mayoría de los operadores ya tienen malware avanzado implantado en algún lugar de su infraestructura).

Para el correo electrónico, puede configurar su propio servidor falso de "correo electrónico" que responde a las consultas de correo electrónico (con el nombre del sitio) y responde con el código 2FA correspondiente. Internamente, ese servidor imitaría la funcionalidad de las aplicaciones de "autenticador" (TOTP / HOTP son estándares abiertos y los servicios en línea no saben ni les importa si está usando una aplicación de teléfono inteligente o alguna solución poco clara como esta). Se conectará al servidor de correo electrónico de forma segura y tendrá algunos scripts que interpretan las consultas de correo electrónico entrantes y coloca las respuestas (con los códigos) directamente en su carpeta IMAP de "bandeja de entrada" para que su cliente de correo electrónico pueda responder.

    
respondido por el André Borie 24.05.2017 - 16:07
fuente
1

¿Qué hace que un teléfono móvil sea más seguro?

Nada, al menos de lo que yo sepa. La razón por la que algunos de los Métodos de factor de dos pasos actuales se basan en teléfonos y secretos almacenados localmente es que las personas tienen más probabilidades de recordar su teléfono que de llevar un generador de token con ellos, así que básicamente, la conveniencia y la disponibilidad del caso de uso. / p>

¿Qué alternativas tengo para dos factores para ID de Apple / Gmail que no involucren un teléfono móvil?

Hay muchas alternativas, aunque la mayoría de ellas involucran algún tipo de hardware adicional. Enviar el token por correo electrónico requeriría que el correo electrónico esté seguro con más de una contraseña y un nombre de usuario, de lo contrario perderá el aspecto " Multifactor " por completo. El punto es obtener un pedazo adicional de " prueba " de que es el usuario correcto, pero si recibe el token en su correo electrónico, alguien que ya tenga acceso a su cuenta solo tiene que revisar su bandeja de entrada. para el token. Una cosa que podría querer revisar son las memorias USB que contienen las claves / certificados secretos para autenticarlo, pero en una configuración corporativa que significaría habilitar los puertos USB, lo que introduce otra superficie de ataque. Sin embargo, para un usuario privado que podría no ser un gran cosa .

    
respondido por el PositriesElectron 24.05.2017 - 16:14
fuente

Lea otras preguntas en las etiquetas

MITM y https para autenticación Cómo hacer que un antivirus detecte un archivo